我试图弄清楚为什么在创建的“TestFolder”中“用户”和“经过身份验证的用户”的权限复选框存在差异。两个设置(标记为红色和橙色)都适用于“此文件夹、子文件夹和文件”,因此两者相同。那么黄色权限有什么不同,为什么不同?
我只谈论和测试本地权限,而不是网络共享。
看看这些:
Create files / write data
Create folders / append data
...
是否可以创建/写入/附加令人困惑。
我以本地用户身份登录此虚拟机,因此理论上我属于内置的“用户”组。查看左侧黄色方块(用户 Win7-CL1\Users),我应该无法创建/写入等。另一方面,成功登录后,系统会将用户视为“经过身份验证的用户”,因此这应该属于右侧黄色方块。因此他(我)应该可以创建/写入等。
当我在虚拟机上进行测试时,我能够创建/写入等,因此看起来“经过身份验证的用户”优先于“用户”。我说得对吗?
如果是这样,那么成功登录后,每个用户都是“经过身份验证的用户”,因此永远不会属于“用户”组。
什么情况下一个人会被视为“用户”?
答案1
您同时处于多个组中。您的令牌具有BUILTIN\Users
SID,和它有Authenticated Users
SID,和它有Everyone
SID,并且还有几个其他 SID。全部在检查 ACL 时会使用这些组。
NTFS ACL 与 POSIX ACL 不同,它不是独占的:和所有匹配的访问权限条目均适用于您。例如,如果文件具有Users:(R)
并被Authenticated Users:(W)
授予,则您具有读取和写访问。这意味着一个组永远不会需求优先于另一件事。
相反,ACE 的排序方式是“拒绝”条目优先于“允许”条目。如果至少一个条目明确拒绝某个权限,则即使另一个条目试图允许该权限,也会被拒绝。